エフセキュアのサイバーセキュリティ技術の結集が Microsoft Exchange のデータ侵害を防ぐ

ProxyLogonとして知られるMicrosoft Exchangeの脆弱性は、オンプレミス上でインターネットに接続されたExchangeサーバーを持つ何万社もの企業に影響を与えています。Microsoftは、脆弱性のあるサーバーの大半にパッチが適用されたと発表していますが、専門家らは、 すでにサーバーにアクセスしている脅威アクターが、ネットワーク内にいる可能性があるため、単に脆弱性にパッチを適用するだけでは不十分だと警告しています。

エフセキュアのシニアセキュリティコンサルタントであるAntti Laatikainen (アンティ・ラーティカイネン) は、この脆弱性がランサムウェアの脅威アクターの注目を集めていることから、今春の侵入報告数が過去最多になると予測しています。また、Laatikainenは、ProxyLogonを経由すれば容易にアクセスできることから、脆弱な企業の大半が侵害されていると考えています。 そして、多くの企業が何よりも望んでいることは、ネットワーク内のあらゆる攻撃を迅速に検知することだとしています。

幸いなことに、あるヨーロッパのお客様は、その望みが叶っています。

阻止した攻撃

3月に、当社のEDR (エンドポイントにおける検知と対応) ソリューションを導入しているお客様の企業ネットワークで、不審な活動が検知されました。 この活動は同社の重要なサービスに関わっていたため、お客様は、インシデントが適切に対処されることを切実に望んでいました。そこで、社内だけで対処するのではなく、当社のElevate to F-Secureサービス オプションを利用して、エフセキュアのセキュリティアナリストへのエスカレーションを選択しました。  

調査の結果、3月9日から18日の間に攻撃者が侵入があり、お客様の Exchange サーバーに数百もの悪意のあるファイルを書き込む試みあったことが判明しました。攻撃者の必至の努力にもかかわらず、これらのファイル (攻撃者がWebサーバーへの永続的なアクセスを得るために使用するWebシェル) のほとんどが、エンドポイントセキュリティソリューションである F-Secure Elements Endpoint Protection によってブロックされました。  

しかしながら、いくつかのWebシェルは検出されなかったため、攻撃者は、それらを使用して追加のコマンドを実行できました。たとえば、攻撃者はコマンドプロンプトを起動して、「whoami」コマンドを実行し、Webシェル制御が確立されていることを確認できましたが、当社の F-Secure Elements Endpoint Detection & Response は、この活動を異常と認識し、フラグを立てました。

別の例では、攻撃者はPowerShellコマンドを使用して、ランサムウェアの NetWalker ファミリーをダウンロードしてインストールしようとしました。 エフセキュアのエンドポイントセキュリティのプロアクティブな保護レイヤーである DeepGuard は、ファイルプロセスからの疑わしい動作を監視し、このコマンドアクションを悪意のあるものとして認識してブロックしました。

当社のコンサルタントは、インシデントの経緯を理解した上で、攻撃者を排除し、問題を修復できました。しかし、適切な予防と検知の技術がなければ、このインシデントはもっと深刻なものになっていたでしょう。

悪名高いランサムウェア

NetWalker ランサムウェアは、大学、医療機関、電力会社、政府・自治体、製造会社など、さまざまな業界への攻撃に使用されています。ブロックチェーン分析企業の Chainalysis によると、このランサムウェアは27 カ国の少なくとも 305 社で、感染しているとのことです。

これにより攻撃者は暴利を貪っています。 Chainalysis は、2019年8月に NetWalker ランサムウェアが登場して以来、4,600万ドル以上の資金を獲得したと、この1月に報告しています。被害を受けたカリフォルニア大学サンフランシスコ校は、データ復元のために 114万ドルを支払っています。

また、ある報道によると、Netwalker は2020年を通じてデータ漏えいに最も関与していたランサムウェアファミリーでもあると言われています。 このマルウェアの背後にいるグループは、2020年1 月から2021 年 1 月 までの間に、113 の組織から盗んだデータを露出させました。

当社のお客様は、NetWalker を阻止したことで、風評被害と経済的な損害を回避することができました。それだけでなく、さらなる調査によって、身代金の搾取後の試みが成功していれば、標的のサーバはPrometei と呼ばれる暗号通貨ボットネットにも悪用されていたことが判明しました。 

多層防御が有効

この状況は、組織が深層防護を必要とする理由を示す典型的な例です。エンドポイントセキュリティと EDR が連携してお客様を保護していましたが、どちらか一方だけでは十分とは言えませんでした。 

エンドポイントセキュリティは、何百もの悪意のある Web シェルをプロアクティブにブロックしました。これはすべて、何が起こっているかお客様が気付く前に行われました。そして一部の攻撃が、防御を何とかすり抜けたとき、EDR はそれに続く攻撃者の行動を異常と認識し、警告を発することができたのです。エンドポイントセキュリティにより、ランサムウェアのインストールが阻止されました。また、EDR のイベントログ機能により、調査担当者が必要としていたインシデントの可視化ができるようになりました。調査担当者は、経験豊かな専門知識を駆使して、何が起こったのかを把握し、適切なアクションを取ることができました。 

忘れてならないのが、脆弱性管理の重要性です。F-Secure Elements Vulnerability Management のような脆弱性スキャンプラットフォームは、脆弱性に焦点を当て、優先順位をつけることで、パッチを適用して攻撃対象領域を最小限に抑えることができます。 

最後に、企業はアラートやログの意味を理解し、資産を守るために次に何をすべきかを知るために、熟練した専門家を必要としています。ヨーロッパのお客様のように、社内にこれらのスキルを持たないエフセキュアのパートナーは、最も必要なときに当社のセキュリティ専門家にアクセスすることができます。サービスとしてのセキュリティを購入するということは、世界トップクラスのサイバーセキュリティ専門家チーム全体が、常にお客様をサポートするということなのです。 

F-Secure Elements Endpoint Detection and Responseは、攻撃者の活動の全プロセスチェーンを表示する

図1:攻撃者はコマンドプロンプトを起動し、「whoami」コマンドを実行する。

図2:F-Secure Elements EDRがこのイベントを異常と認識する。

図3:F-Secure Elements EDRが、「whoami」やPowerShellコマンドの詳細を含むプロセスチェーン全体を表示する。